מבדקי חדירה - תקשורת חיצונית (Penetration Testing - External Network)
- כוללת תקיפה של מערך התקשורת מכיוון רשת האינטרנט לעבר רשת החברה. מבדק זה יבוצע ברמת התקשורת אל מול ממשק התקשורת החיצוני של החברה (FW) האמור להגן על עמדות הקצה והשרת הפרוסים במשרדי החברה. מטרת המבדק - לקבל הרשאות גישה בלתי מורשות על הרשת המקומית וממנה להשתלט נכסי מידע.
- הפעלת כלים ממוכנים המסוגלים למדמות מצבי תקיפה ומנסים לאתר חולשות ברמות השונות ולאתר חולשות, חוסר בתיקוני אבטחה מותקנים, הרשאות גישה חלשות וכו'.
- ביצוע תקיפה ידנית המבוססת על הכלים הממוכנים בה מבוצעת הדמיית תקיפה פרטנית על מנת לאתר חולשות ולממשן ברמת התקשורת והרשת על מנת להביא לידי מצב בו המערכת מאפשרת גישה בלתי מורשית למשאביה בכל אחת מהרמות: מערכות ההפעלה או רכיבי התקשורת.
מבדקי חדירה - תקשורת פנימית (Penetration Testing - Internal Network)
- כוללת תקיפה של מערך התקשורת הפנימי בארגון. בחינה זו תבוצע ברמת התקשורת תוך התממשקות ל"נקודה חמה" ברשת הפנים ארגונית, במטרה לדמות גורם אשר קיבל קישור פנימי לא מורשה (כגון קבלן אשר חורג מתחום פעולתו או לחילופין עובד אשר מנסה להגיע למקורות מידע אשר אין לו הרשאות תקניות עבורן
- מטרת הבחינה - לקבל הרשאות גישה בלתי מורשות על הרשת הפנימית המקומית וממנה להשתלט נכסי מידע.
אופן ביצוע הבדיקות:
- הפעלת כלים ממוכנים המסוגלים למדמות מצבי תקיפה ומנסים לאתר חולשות ברמות השונות ולאתר חולשות, חוסר בתיקוני אבטחה מותקנים, הרשאות גישה חלשות וכו'.
- ביצוע תקיפה ידנית המבוססת על הכלים הממוכנים בה מבוצעת הדמיית תקיפה פרטנית על מנת לאתר חולשות ולממשן ברמת התקשורת והרשת על מנת להביא לידי מצב בו המערכת מאפשרת גישה בלתי מורשית למשאביה בכל אחת מהרמות: מערכות ההפעלה או רכיבי התקשורת.
מבדקי חדירה - אפליקציה Penetration Testing - Application Level)
- מבדקי החדירה המבוקרים יכללו סקירה היקפית, הלכה למעשה של אפליקציות מרכזיות בארגון, בין אם המשמשות את לקוחות החברה או את עובדיה לשימושים פנימיים. הבחינה תבוצע ברמות המשתמש השונות (משתמש פשוט, משתמש פריוולגי וכו') הקיימות באפליקציות. בחינת החדירה האפליקטיבית תנסה לאמוד את היכולת של תוקף פוטנציאלי להסב נזק תדמיתי או כלכלי ללקוח ו/או לחברה.
- הבחינה האפליקטיבית תתבצע ברמת GrayBox ויתבצע ניסיון לאיתור פרצות כגון:
- SQL Injection
- Logical Attacks
- Parameter and User Input Tampering
- State & Session Management Attacks
- Session ID Replay/Brute Force
- XML poisoning
- Injection Attacks
- Cross Site Scripting
- etc...
מבדקי חדירה VoIP - מערכות הטלפוניה
- על ארגונים בכל הגדלים אשר אימצו Telephony IP לשקול ברצינות את נושא אבטחת המידע. אל מול מספרים גדלים והולכים של ארגונים המאמצים Telephony IP עולים האקרים ופושעים מסוגים שונים המנצלים חולשות הקיימות בטכנולוגיה זו למטרותיהם. סקר אבטחת המידע המתקדם של Secaudit מסייע במתן מענה הגנתי אל מול איומים פנימיים וחיצוניים למשתמשים בטכנולוגיית Telephony IP.
האיומים הנפוצים ב Telephony IP הינם:
- הונאה: גניבת שיחות מתרחשת כאשר תוקף חודר לרשת ולמרכזיית ה – IP תוך שהוא "חוטף" קווים לשם ביצוע שיחות חיוב מקומיות, שיחות מעבר לים, או כל שירות אחר המסוגל לבצע חיוב על בסיס קו טלפון.
- ציטוט והאזנה: הגם שציטוט והאזנה אינם סיכון ייחודי ל - Telephony IP, הרי שאופי רשת ה IP הופך אותה לנגישה וחדירה הרבה יותר. אין צורך עוד בגישה פיזית למרכזיה לשם ציטוט לקווים ומרגע שהושגה גישה ניתן לבצע האזנה רציפה מנקודה מרוחקת בכל מקום בעולם.
- מניעת שירות - Denial of Service: התקפות מניעת שירות מסוגלות להשפיע על כל רשת שהיא, כמו גם רשתות - Telephony IP. פעולת מניעת השירות מתבצעת ע"י "הצפת" הרשת בבקשות.
- פריצה ל VoIP: כמו לכל מערכת המבוססת IP, גם ברשת Telephony IP קיים סיכון של פריצה מבחוץ. פריצה מעין זו משפיעה של כלל המשתמשים ועלולה להסתיים בפריצה גם לרשת המידע הארגונית.
- Spit - Spam over Instant Messaging: בעוד דואר אלקטרוני ניתן לבחינה כי הוא נקי מספאם טרם העברתו למשתמש, הרי שספאם על ערוץ תקשורת הטלפוניה אינו ניתן לניקוי בשיטה דומה, לאור העברת המידע המידית המתרחשת בעת שיחה. בשל כך קיים הסיכון של :שיחות זבל" בדיוק כמו "דואר זבל".
אורן שני, מנכ"ל משותף SecAudit - כי הניסיון הוא ההבדל. SecAudit הינו משרד המתמחה בתחום הבקרה ואבטחת המידע. למשרד התמחויות מגוונות לרבות ביקורת פנימית, ביקורת מעילות והונאות, ביקורת מערכות מידע וסקרי סיכונים, אבטחת מידע ותחקור נתונים.